In alcuni paesi esiste un quadro giuridico specifico per tali cose; naturalmente, ogni paese ha il suo ... In Francia, è il Référentiel Général de Sécurité , che si basa su Common Criteria . Il nocciolo della cosa: l'organizzazione amministrativa pertinente (il ANSSI ) pubblica un Obiettivo di valutazione che descrive tutte le funzionalità che un determinato servizio dovrebbe avere. Riguarda cose come la precisione dell'orologio dell'autorità temporale, il processo utilizzato per controllare l'accesso fisico ai server, i controlli in background delle registrazioni criminali e di debito di persone che hanno sviluppato il codice, la conformità agli standard pertinenti, e così via on.
Un'organizzazione che desidera ottenere il proprio sistema "certificato" assume quindi una società di revisione indipendente, che verifica che il sistema rispetti le regole del ToE. Parla quindi con l'ANSSI, che fa alcune verifiche (in particolare che la società di revisione contabile è effettivamente indipendente e degna di fiducia), quindi concede finalmente un riconoscimento formale del sistema come conforme. Questo si collega a un insieme di leggi locali che più o meno significano che quando si utilizza un sistema notarile certificato, i documenti autentificati sono ritenuti validi, e se qualcuno vuole contestarne la validità, allora deve portare elementi di prova (es. > onere della prova è su chi contesta piuttosto che su chi afferma).
Occorrono diversi mesi, una notevole quantità di denaro (decine di migliaia di dollari) e una terrificante quantità di scartoffie.